11月14日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
三菱電機の家電製品にデッドロックの脆弱性
三菱電機が販売している(していた)家電製品において、脆弱性情報が公開された。対象は、Realtek製チップを搭載する三菱電機製の家電製品。具体的には、ルームエアコン、無線LANアダプタ、冷蔵庫、ヒートポンプ給湯機、HEMS対応アダプタ、バス乾燥・暖房・換気システム、三菱HEMS用制御アダプタ、ロスナイセントラル換気システム、換気扇用・ロスナイ用スマートスイッチなど。
なお、以下の条件に当てはまる場合は影響を受けない
- Wi-Fi接続に対応していない製品
- Wi-Fi接続対応の製品において、Wi-Fi接続を使用していない場合
- Wi-Fi接続対応の製品において、WPS接続を使用する場合
- Wi-Fi接続対応の製品において、機器登録を完了して通常使用している場合
公開された脆弱性は、デッドロックによるサービス拒否(DoS)。機器登録の際に用いるアクセスポイントモードにおいて脆弱性が発生する。Wi-Fiの受信圏内において、悪意のある攻撃者の細工したデータを受信すると、アクセスポイントモードで動作中のWi-Fi通信が一時的にサービス停止状態に陥る。
アクセスポイントモードでの通信ができなくなるので、結果として機器登録が行えなくなる。DoS状態に陥った場合の復旧は、手動で再起動、または、自動的に通常モードに切り替わるのを待つ(10分後)。復旧後は機器登録が可能になる。機器登録以外の利用時は脆弱性の影響は受けない。
脆弱性を解消するにはソフトウェアアップデートなどが必要になるので、当該製品のユーザーはアップデートすること。なお、この脆弱性による個人情報や機器データの情報漏えいや、機器の不正操作などはない。
今もユーザー数が増え続ける「TikTok」に潜む危険性
ESET社が運営する情報サイト「Welivesecurity」では、ショート動画サービスの「TikTok」に潜む危険性について警鐘を鳴らしている。TikTokは現在もユーザー数が増え続けており、ユーザー数が増えればそこで詐欺を働こうとする人も増えていく。そこでWelivesecurityは、TikTok詐欺について注意するべき5つのポイントをまとめている。
1:暗号資産(仮想通貨)の儲け話
少ない労力で大きな利益が得られるとして気を引くのは詐欺師の常套手段。うまい話には裏があるので、こうしたDMが来た場合は詐欺を疑うこと。
2:TikTok上のフィッシングメッセージ
メールやSMSを使ったフィッシングと同じ手法。認証バッジやフォロワーの獲得、スポンサー契約を持ちかけるといった手口が多い。リンクをクリックするとそこはフィッシングサイトだ。情報を入力してしまうと、乗っ取りや悪用の危険がある。
3:ボットアカウント
ボットアカウントは、設定に従って自動投稿するためのアカウント。経験が浅いとそれがボットと気付かないことも多いという。こうしたボットは、標的から機密情報を聞き出そうとしたり、情報を不正入手する詐欺サイトへと誘導したりする。スマホにマルウェアをインストールさせようとする場合もあるので注意したい。
4:TikTokの詐欺アプリ
TikTokの偽アカウントでは、ダウンロード可能なアプリを紹介していることがある。多くは偽物アプリで、個人情報を盗まれたり、マルウェアなどをスマホにインストールされたりする可能性がある。より注意したいのは、サードパーティーのアプリストアを使えば有料アプリが無料でダウンロードできる――などとうたっているケース。「おいしい話」や「設け話」はたいてい詐欺である。
5:偽の有名人
実在の有名人になりすまし、できるだけ多くのフォロワーを獲得して、暗号資産投資詐欺に利用する――といった手法もある。有名人のアカウントページとはいえ、投稿をコピーすれば作れてしまうので、見分けるためにしばらく様子を見るとよい。
日本ケーブルテレビ、不正アクセスでファイルサーバーなどに障害発生
日本ケーブルテレビジョンのファイルサーバーと業務用PCが不正アクセスを受け、管理するデータが使用できない状況となった。
不正アクセスは11月6日に発生。CNN放送と番組制作素材への影響はないものの、約7,000人の個人情報が流出した可能性を否定できず、現在も調査を続けている。流出した可能性のある個人情報は以下の通り。
- 日本ケーブルテレビジョンの採用に応募した人の個人情報(2020年10月~2022年7月まで)
- 番組の出演者や番組スタッフの個人情報
- 退職者含む従業員情報
同社は今回の件を総務省に報告し、原因などを外部専門事業者の協力を得ながら調べている。今後は、セキュリティ体制の厳格化や監視体制の強化を図り、再発防止に取り組む。
日本栄養士連盟会員管理システムが不正アクセス被害
日本栄養士連盟の会員管理システムが不正アクセスを受け、個人情報が外部に流出した可能性がある。
不正アクセスは2022年5月10日の2時19分ごろに発生。侵入者は会員管理システムのURLを使って不正アクセスしたと見られ、侵入経路を秘匿するプログラムを使ってアクセスしたことも分かっている。侵入後は、管理者IDを使いデータを持ち出していた。侵入者が会員管理システムのURLを取得した経緯は不明。
外部に流出した可能性のある情報は、会員管理システム登録会員の会員番号、生年月日、氏名、住所、電話番号、勤務先(一部)、メールアドレス(一部)。対象は全会員。
現時点で不正アクセスによる個人情報の不正利用などはないとしているが、現在も調査を続けており警戒を強めている。
東京きらぼしフィナンシャルの海外グループ会社が不正アクセス被害
東京きらぼしフィナンシャルグループのグループ会社「綺羅商務諮詢(上海)有限公司」が利用するクラウド型ファイルシステムが不正アクセスを検知した。
不正アクセスは2022年11月7日に発生。このクラウドシステムには、綺羅商務諮詢の社内情報と、同社のサービスを利用した法人情報を含んでいた。法人情報は不正アクセスにより閲覧できない状態となっている。現時点では、同システムからの情報漏えいはないとしているものの、詳細については調査を続けて、経過は同社ホームページで公開していくとのこと。
Mozilla、 Firefoxのメジャーアップデート版「Firefox 107」
Mozilla Foundationは11月15日(米国時間)、Firefoxの最新バージョン「107.0」を公開した。拡張サポート版である「Firefox ESR 102.5.0」もリリースしている。
今回のアップデートによるセキュリティ更新は19件(高8件、中9件、低2件)。「高」では、全画面の通知バイパス、InputStream実装とJavaScript、ガベージコレクションなどでのメモリの解放後使用などを修正している。
機能面では、Windows 11 22H2 において、Microsoft IME、およびDefenderがフォーカスしたドキュメントのURLを取得するインスタンスのパフォーマンスが向上した。Webブラウザから記録したパフォーマンスデータの可視化については、これまで対応していたWindows 11、およびApple CPU搭載のMacに加え、LinuxとIntel CPU搭載Macでも利用可能となった。
ETC利用照会サービスを騙るフィッシングメール
11月15日以降、ETC利用照会サービスを騙るフィッシングメールが拡散している。メール件名の例は「ETCに支払情報が変更」など。
メールでは、ETCの支払い情報を変更したようなので、本人確認のために一部使用を制限するなどと記載。リンクやQRコードを用意しアクセスするよう誘導する。誘導先は「ETC」のログイン画面を模したフィッシングサイトで、メールアドレス、パスワード、住所、クレジットカード情報などの入力欄がある。11月15日の時点でフィッシングサイトは稼働中なので注意されたい。